De uitdaging bij Business Continuity Management

P.J. Manchem; J. Hoogstra; R.A.L. Velthoen

De uitdaging bij Business Continuity Management

P.J. Manchem, J. Hoogstra, R.A.L. Velthoen

University of Twente

Research output: Contribution to journal › Article › Academic

133 Downloads (Pure)

Abstract

Ruim tweeënhalf jaar na de aanslagen in Amerika, anderhalf jaar na de brand bij de Universiteit Twente in Enschede en de bommeldingen bij IKEA zou men verwachten dat veel organisaties hun Business Continuity Management (BCM) op orde zouden hebben. Voor de IT-auditors zou dit dan betekenen dat zij het erg druk hebben gehad met het beoordelen van continuïteitsplannen en/of het adviseren over de continuïteitsmaatregelen. Integendeel. De meeste organisaties hebben nog steeds niet geïnventariseerd of de Business Continuity afdoende is geregeld, laat staan afdoende maatregelen zijn getroffen! 'Ach, de kans op een bommelding of een grote brand is erg klein', luidt vaak de reactie van het management. Het lijkt een logische reactie. Maar wordt er tegelijkertijd ook stilgestaan bij de gevolgen van stroomstoringen, de afhankelijkheid van telefonie en e-mail tijdens kantooruren, de afhankelijkheid van bepaalde fysieke brondocumenten en de gevolgen van een brand in een deel van een gebouw? Dit soort relatief 'onschuldige' risico's worden in de praktijk onderschat. Voor de IT-auditor vormt dit nou juist de uitdaging. Hoe zorg je ervoor dat het management je niet lastig en erg theoretisch vindt, maar ziet als een professional die hem kan ondersteunen bij het managen van de belangrijkste restrisico's rondom Business Continuity. Immers, elke organisatie heeft maatregelen getroffen om de continuïteit te waarborgen en risico's af te dekken, al is het alleen maar het maken van back-ups van data of het archiveren van brondocumenten. Het is niet reëel om te veronderstellen dat je alle risico's kunt afdekken. Er is altijd sprake van bepaalde restrisico's die moeten worden geaccepteerd door het management. Dit houdt voor de IT-auditor in dat door het focussen op de restrisico's met betrekking tot Business Continuity, hij een waardevolle bijdrage kan leveren aan de ICT Governance binnen een organisatie. In dit artikel wordt ingegaan op de wijze waarop een IT-auditor in een Business Continuity-traject zich kan richten op de (rest)risico's en welke methodieken en hulpmiddelen hij hiervoor tot zijn beschikking heeft.

Original language	Undefined
Pages (from-to)	3-9
Journal	Compact
Volume	2004
Issue number	2
Publication status	Published - 2004

Keywords

IR-96495

Access to Document

C-2004-2-Mancham

http://www.compact.nl/artikelen/C-2004-2-Mancham.htm

Cite this

@article{24d880ac76e242c187aed66773d095fd,

title = "De uitdaging bij Business Continuity Management",

abstract = "Ruim twee{\"e}nhalf jaar na de aanslagen in Amerika, anderhalf jaar na de brand bij de Universiteit Twente in Enschede en de bommeldingen bij IKEA zou men verwachten dat veel organisaties hun Business Continuity Management (BCM) op orde zouden hebben. Voor de IT-auditors zou dit dan betekenen dat zij het erg druk hebben gehad met het beoordelen van continu{\"i}teitsplannen en/of het adviseren over de continu{\"i}teitsmaatregelen. Integendeel. De meeste organisaties hebben nog steeds niet ge{\"i}nventariseerd of de Business Continuity afdoende is geregeld, laat staan afdoende maatregelen zijn getroffen! 'Ach, de kans op een bommelding of een grote brand is erg klein', luidt vaak de reactie van het management. Het lijkt een logische reactie. Maar wordt er tegelijkertijd ook stilgestaan bij de gevolgen van stroomstoringen, de afhankelijkheid van telefonie en e-mail tijdens kantooruren, de afhankelijkheid van bepaalde fysieke brondocumenten en de gevolgen van een brand in een deel van een gebouw? Dit soort relatief 'onschuldige' risico's worden in de praktijk onderschat. Voor de IT-auditor vormt dit nou juist de uitdaging. Hoe zorg je ervoor dat het management je niet lastig en erg theoretisch vindt, maar ziet als een professional die hem kan ondersteunen bij het managen van de belangrijkste restrisico's rondom Business Continuity. Immers, elke organisatie heeft maatregelen getroffen om de continu{\"i}teit te waarborgen en risico's af te dekken, al is het alleen maar het maken van back-ups van data of het archiveren van brondocumenten. Het is niet re{\"e}el om te veronderstellen dat je alle risico's kunt afdekken. Er is altijd sprake van bepaalde restrisico's die moeten worden geaccepteerd door het management. Dit houdt voor de IT-auditor in dat door het focussen op de restrisico's met betrekking tot Business Continuity, hij een waardevolle bijdrage kan leveren aan de ICT Governance binnen een organisatie. In dit artikel wordt ingegaan op de wijze waarop een IT-auditor in een Business Continuity-traject zich kan richten op de (rest)risico's en welke methodieken en hulpmiddelen hij hiervoor tot zijn beschikking heeft.",

keywords = "IR-96495",

author = "P.J. Manchem and J. Hoogstra and R.A.L. Velthoen",

year = "2004",

language = "Undefined",

volume = "2004",

pages = "3--9",

journal = "Compact",

issn = "0920-1645",

publisher = "Uitgeverij Kleine Uil",

number = "2",

}

TY - JOUR

T1 - De uitdaging bij Business Continuity Management

AU - Manchem, P.J.

AU - Hoogstra, J.

AU - Velthoen, R.A.L.

PY - 2004

Y1 - 2004

N2 - Ruim tweeënhalf jaar na de aanslagen in Amerika, anderhalf jaar na de brand bij de Universiteit Twente in Enschede en de bommeldingen bij IKEA zou men verwachten dat veel organisaties hun Business Continuity Management (BCM) op orde zouden hebben. Voor de IT-auditors zou dit dan betekenen dat zij het erg druk hebben gehad met het beoordelen van continuïteitsplannen en/of het adviseren over de continuïteitsmaatregelen. Integendeel. De meeste organisaties hebben nog steeds niet geïnventariseerd of de Business Continuity afdoende is geregeld, laat staan afdoende maatregelen zijn getroffen! 'Ach, de kans op een bommelding of een grote brand is erg klein', luidt vaak de reactie van het management. Het lijkt een logische reactie. Maar wordt er tegelijkertijd ook stilgestaan bij de gevolgen van stroomstoringen, de afhankelijkheid van telefonie en e-mail tijdens kantooruren, de afhankelijkheid van bepaalde fysieke brondocumenten en de gevolgen van een brand in een deel van een gebouw? Dit soort relatief 'onschuldige' risico's worden in de praktijk onderschat. Voor de IT-auditor vormt dit nou juist de uitdaging. Hoe zorg je ervoor dat het management je niet lastig en erg theoretisch vindt, maar ziet als een professional die hem kan ondersteunen bij het managen van de belangrijkste restrisico's rondom Business Continuity. Immers, elke organisatie heeft maatregelen getroffen om de continuïteit te waarborgen en risico's af te dekken, al is het alleen maar het maken van back-ups van data of het archiveren van brondocumenten. Het is niet reëel om te veronderstellen dat je alle risico's kunt afdekken. Er is altijd sprake van bepaalde restrisico's die moeten worden geaccepteerd door het management. Dit houdt voor de IT-auditor in dat door het focussen op de restrisico's met betrekking tot Business Continuity, hij een waardevolle bijdrage kan leveren aan de ICT Governance binnen een organisatie. In dit artikel wordt ingegaan op de wijze waarop een IT-auditor in een Business Continuity-traject zich kan richten op de (rest)risico's en welke methodieken en hulpmiddelen hij hiervoor tot zijn beschikking heeft.

AB - Ruim tweeënhalf jaar na de aanslagen in Amerika, anderhalf jaar na de brand bij de Universiteit Twente in Enschede en de bommeldingen bij IKEA zou men verwachten dat veel organisaties hun Business Continuity Management (BCM) op orde zouden hebben. Voor de IT-auditors zou dit dan betekenen dat zij het erg druk hebben gehad met het beoordelen van continuïteitsplannen en/of het adviseren over de continuïteitsmaatregelen. Integendeel. De meeste organisaties hebben nog steeds niet geïnventariseerd of de Business Continuity afdoende is geregeld, laat staan afdoende maatregelen zijn getroffen! 'Ach, de kans op een bommelding of een grote brand is erg klein', luidt vaak de reactie van het management. Het lijkt een logische reactie. Maar wordt er tegelijkertijd ook stilgestaan bij de gevolgen van stroomstoringen, de afhankelijkheid van telefonie en e-mail tijdens kantooruren, de afhankelijkheid van bepaalde fysieke brondocumenten en de gevolgen van een brand in een deel van een gebouw? Dit soort relatief 'onschuldige' risico's worden in de praktijk onderschat. Voor de IT-auditor vormt dit nou juist de uitdaging. Hoe zorg je ervoor dat het management je niet lastig en erg theoretisch vindt, maar ziet als een professional die hem kan ondersteunen bij het managen van de belangrijkste restrisico's rondom Business Continuity. Immers, elke organisatie heeft maatregelen getroffen om de continuïteit te waarborgen en risico's af te dekken, al is het alleen maar het maken van back-ups van data of het archiveren van brondocumenten. Het is niet reëel om te veronderstellen dat je alle risico's kunt afdekken. Er is altijd sprake van bepaalde restrisico's die moeten worden geaccepteerd door het management. Dit houdt voor de IT-auditor in dat door het focussen op de restrisico's met betrekking tot Business Continuity, hij een waardevolle bijdrage kan leveren aan de ICT Governance binnen een organisatie. In dit artikel wordt ingegaan op de wijze waarop een IT-auditor in een Business Continuity-traject zich kan richten op de (rest)risico's en welke methodieken en hulpmiddelen hij hiervoor tot zijn beschikking heeft.

KW - IR-96495

M3 - Article

SN - 0920-1645

VL - 2004

SP - 3

EP - 9

JO - Compact

JF - Compact

IS - 2

ER -